Με ποιους τρόπους προστατεύονται

Η προστασία δεδομένων και το απόρρητο δεδομένων είναι δυο όροι που συχνά χρησιμοποιούνται εναλλακτικά, αλλά υπάρχει μια σημαντική διαφορά μεταξύ τους. Το απόρρητο δεδομένων καθορίζει ποιος έχει πρόσβαση στα δεδομένα, ενώ η προστασία δεδομένων παρέχει εργαλεία και πολιτικές για τον περιορισμό της πρόσβασης στα δεδομένα. Οι κανονισμοί συμμόρφωσης συμβάλλουν στη διασφάλιση ότι τα αιτήματα απορρήτου των χρηστών εκτελούνται από τις εταιρείες, ενώ οι ίδιες οι εταιρείες είναι υπεύθυνες για τη λήψη μέτρων που θα προστατεύουν τα ιδιωτικά δεδομένα των χρηστών. Έτσι λοιπόν, στο άρθρο που ετοιμάσαμε, θα αναφερθούμε στους τρόπους με τους οποίους μπορούν να προστατεύονται τα δεδομένα των χρηστών.

Γράφει ο Χάρης Ματθαίου

Η προστασία δεδομένων και το απόρρητο δεδομένων εφαρμόζονται συνήθως στις προσωπικές πληροφορίες υγείας και στις προσωπικές πληροφορίες ταυτοποίησης. Και παίζουν ζωτικό ρόλο στις επιχειρηματικές δραστηριότητες, την ανάπτυξη και τις χρηματοοικονομικές συναλλαγές. Προστατεύοντας τα δεδομένα, οι εταιρείες μπορούν να αποτρέπουν παραβιάσεις δεδομένων, να προστατεύουν τη φήμη τους και να ικανοποιούν καλύτερα τις κανονιστικές απαιτήσεις. Οι λύσεις προστασίας δεδομένων βασίζονται σε τεχνολογίες όπως η πρόληψη απώλειας δεδομένων, η αποθήκευση με ενσωματωμένη προστασία δεδομένων, τα τείχη προστασίας, η κρυπτογράφηση και η προστασία τελικού σημείου.

Τι είναι η προστασία δεδομένων;

Η προστασία δεδομένων είναι ένα σύνολο στρατηγικών και διαδικασιών που μπορεί να χρησιμοποιεί μια εταιρεία για να διασφαλίσει το απόρρητο, τη διαθεσιμότητα και την ακεραιότητα των δεδομένων των πελατών. Μερικές φορές ονομάζεται επίσης ασφάλεια δεδομένων ή απόρρητο πληροφοριών.

Μια στρατηγική προστασίας δεδομένων είναι ζωτικής σημασίας για κάθε οργανισμό που συλλέγει, χειρίζεται ή αποθηκεύει ευαίσθητα δεδομένα. Μια επιτυχημένη στρατηγική μπορεί να βοηθήσει στην πρόληψη απώλειας δεδομένων, κλοπής ή αλλοίωσής τους, καθώς επίσης και στην ελαχιστοποίηση των ζημιών που προκαλούνται σε περίπτωση παραβίασης ή καταστροφής.

Τι είναι το απόρρητο δεδομένων;

Το απόρρητο δεδομένων είναι μια κατευθυντήρια γραμμή για τον τρόπο συλλογής ή χειρισμού μιας πληροφορίας, με βάση την ευαισθησία και τη σχετική σημασία της. Για παράδειγμα, πιθανότατα δε θεωρείται επικίνδυνο από ένα χρήστη να μοιραστεί το όνομά του με έναν ξένο κατά τη διαδικασία της γνωριμίας τους, αλλά υπάρχουν και άλλες πληροφορίες που δεν θα μοιραζόταν μαζί του, τουλάχιστον μέχρι να εξοικειωθεί περισσότερο με το άτομο αυτό. Ωστόσο, το άνοιγμα ενός νέου τραπεζικού λογαριασμού, πιθανότατα επιβάλλει στο χρήστη να μοιράζεται έναν τεράστιο αριθμό προσωπικών πληροφοριών, πολύ πέρα ​​από το όνομά του.

Στην ψηφιακή εποχή, εφαρμόζεται τυπικά η έννοια του απορρήτου δεδομένων σε κρίσιμες προσωπικές πληροφορίες, γνωστές και ως προσωπικά αναγνωρίσιμες πληροφορίες (διεθνώς ως PII – Personally Identifiable Information), καθώς και σε προσωπικές πληροφορίες υγείας (διεθνώς ως PHI – Personal Health Information). Αυτές μπορεί να περιλαμβάνουν αριθμούς κοινωνικής ασφάλισης, ιατρικά και φαρμακευτικά αρχεία, οικονομικά δεδομένα συμπεριλαμβανομένων αριθμών τραπεζικών λογαριασμών και πιστωτικών καρτών, ακόμη και βασικές αλλά πολύ ευαίσθητες πληροφορίες όπως πλήρη ονόματα, διευθύνσεις και ημερομηνίες γέννησης. Γενικά, ο κατάλογος των προσωπικών πληροφοριών μπορεί να είναι αρκετά εκτενής.

Για μια επιχείρηση, το απόρρητο δεδομένων υπερβαίνει το PII των εργαζομένων και των πελατών της. Περιλαμβάνει επίσης τις πληροφορίες που βοηθούν τη λειτουργία της εταιρείας, είτε πρόκειται για ιδιόκτητα δεδομένα έρευνας και ανάπτυξης, είτε οικονομικές πληροφορίες που δείχνουν πώς ξοδεύει και επενδύει τα χρήματά της.

Γιατί είναι σημαντικό το απόρρητο των δεδομένων;

Όταν τα δεδομένα που πρέπει να διατηρούνται ιδιωτικά βρεθούν σε λάθος χέρια, μπορεί να συμβούν δυσάρεστες ή και επικίνδυνες καταστάσεις. Για παράδειγμα, μια παραβίαση δεδομένων σε μια κρατική υπηρεσία μπορεί να θέσει άκρως απόρρητες πληροφορίες στα χέρια ενός εχθρικού κράτους. Μια παραβίαση σε μια εταιρεία μπορεί να θέσει ιδιόκτητα δεδομένα στα χέρια ενός ανταγωνιστή. Μια παραβίαση σε ένα σχολείο θα μπορούσε να θέσει το PII των μαθητών στα χέρια εγκληματιών που θα μπορούσαν να διαπράξουν κλοπή ταυτότητας. Μια παραβίαση σε νοσοκομείο ή ιατρείο μπορεί να οδηγήσει το PHI στα χέρια κακοποιών, με σκοπό αυτοί να το χρησιμοποιήσουν με επιβλαβή τρόπο.

Το απόρρητο των δεδομένων διασφαλίζει ότι οι ευαίσθητες πληροφορίες που χειρίζονται οι οργανισμοί είναι προσβάσιμες μόνο σε εγκεκριμένα μέρη. Αποτρέπει τους εγκληματίες από το να μπορούν να χρησιμοποιούν δεδομένα με κακόβουλο τρόπο και βοηθάει να διασφαλιστεί ότι οι οργανισμοί πληρούν τις κανονιστικές απαιτήσεις. Το απόρρητο των δεδομένων επιβάλλεται από τους κανονισμούς προστασίας δεδομένων και τυχόν μη συμμόρφωση, μπορεί να οδηγήσει σε χρηματικά πρόστιμα ή ακόμα και σε απώλεια της άδειας μιας επιχείρησης.

Διαφορά μεταξύ προστασίας δεδομένων και απορρήτου δεδομένων

Όπως αναφέραμε πιο πάνω, παρόλο που τόσο η προστασία δεδομένων όσο και το απόρρητο δεδομένων είναι εξίσου σημαντικά και συχνά συναντιούνται, οι δύο αυτοί όροι δεν αντιπροσωπεύουν το ίδιο πράγμα, καθώς ο ένας αφορά πολιτικές και ο άλλος μηχανισμούς.

Το απόρρητο δεδομένων επικεντρώνεται στον καθορισμό του ποιος έχει πρόσβαση σε δεδομένα, ενώ η προστασία δεδομένων εστιάζει στην εφαρμογή αυτών των περιορισμών. Το απόρρητο δεδομένων καθορίζει τις πολιτικές που χρησιμοποιούν τα εργαλεία και οι διαδικασίες προστασίας δεδομένων. Η δημιουργία οδηγιών απορρήτου δεδομένων δεν διασφαλίζει ότι οι μη εξουσιοδοτημένοι χρήστες δεν έχουν πρόσβαση. Ομοίως, μπορεί να περιοριστεί η πρόσβαση με προστασία δεδομένων, ακόμα και αν έχουν μείνει ευαίσθητα δεδομένα ευάλωτα σε επίθεση. Συνεπώς, χρειάζονται και τα δύο για να διασφαλιστεί ότι τα δεδομένα παραμένουν ασφαλή.

Οι χρήστες ελέγχουν το απόρρητο, οι εταιρείες διασφαλίζουν την προστασία

Μια άλλη σημαντική διαφοροποίηση μεταξύ του απορρήτου και της προστασίας είναι ποιος κατά κανόνα ελέγχει. Σε ότι αφορά το απόρρητο, οι χρήστες μπορούν συχνά να ελέγχουν πόσα από τα δεδομένα τους μοιράζονται και με ποιον. Ενώ σε ότι αφορά την προστασία, εναπόκειται στις εταιρείες που χειρίζονται δεδομένα να διασφαλίζουν ότι θα παραμένουν ιδιωτικά. Οι κανονισμοί συμμόρφωσης αντικατοπτρίζουν αυτή τη διαφορά και έχουν δημιουργηθεί για να διασφαλίζουν ότι τα αιτήματα απορρήτου των χρηστών εφαρμόζονται από εταιρείες.

Τεχνολογίες και πρακτικές προστασίας δεδομένων χρήστη

Σε ότι αφορά την προστασία των δεδομένων, υπάρχουν πολλές επιλογές αποθήκευσης και διαχείρισης. Οι λύσεις αυτές μπορούν να βοηθήσουν στον περιορισμό της πρόσβασης, στην παρακολούθηση της δραστηριότητας και στην αντιμετώπιση πιθανών απειλών. Μερικές από τις πιο συχνά χρησιμοποιούμενες πρακτικές και τεχνολογίες είναι οι εξής:

Πρόληψη απώλειας δεδομένων (DLP – Data Loss Prevention): Είναι ένα σύνολο στρατηγικών και εργαλείων που μπορούν να χρησιμοποιηθούν για την αποτροπή της κλοπής, της απώλειας ή της τυχαίας διαγραφής δεδομένων. Οι λύσεις πρόληψης απώλειας δεδομένων συχνά περιλαμβάνουν διάφορα εργαλεία για την προστασία και την ανάκτηση από την απώλεια δεδομένων.

Αποθήκευση με ενσωματωμένη προστασία δεδομένων: Ο σύγχρονος εξοπλισμός αποθήκευσης παρέχει ενσωματωμένη ομαδοποίηση δίσκων και πλεονασμό. Στην αγορά υπάρχουν διαθέσιμες λύσεις με χαμηλό κόστος, που επιτρέπουν την αποθήκευση μεγάλου όγκου δεδομένων και τη γρήγορη πρόσβαση με ελάχιστη ποσότητα απώλειας δεδομένων (RTO) και ελάχιστο χρόνο ανάκτησης (RPO).

Τείχη προστασίας (Firewalls): Είναι βοηθητικά προγράμματα που επιτρέπουν την παρακολούθηση και το φιλτράρισμα της κίνησης του δικτύου. Τα Firewalls μπορούν να χρησιμοποιούνται για να διασφαλιστεί ότι επιτρέπεται η πρόσβαση ή η μεταφορά δεδομένων μόνο σε εξουσιοδοτημένους χρήστες.

Έλεγχος ταυτότητας και εξουσιοδότηση: Περιλαμβάνει στοιχεία ελέγχου που βοηθούν στην επαλήθευση των διαπιστευτηρίων, ώστε να επιβεβαιώνεται ότι τα δικαιώματα χρήστη εφαρμόζονται σωστά. Τα μέτρα αυτά χρησιμοποιούνται συνήθως ως μέρος μιας λύσης διαχείρισης ταυτότητας και πρόσβασης, σε συνδυασμό με ελέγχους πρόσβασης βάσει ρόλων.

Κρυπτογράφηση: Η πρακτική αυτή αλλάζει το περιεχόμενο των δεδομένων σύμφωνα με έναν αλγόριθμο που μπορεί να αντιστραφεί μόνο με το σωστό κλειδί κρυπτογράφησης. Η κρυπτογράφηση προστατεύει τα δεδομένα από μη εξουσιοδοτημένη πρόσβαση ακόμη και αν αυτά υποκλαπούν, καθιστώντας τα μη αναγνώσιμα.

Προστασία τελικού σημείου: Είναι μια λύση που προστατεύει πύλες εντός του δικτύου, συμπεριλαμβανομένων θυρών, δρομολογητών και συνδεδεμένων συσκευών. Το λογισμικό προστασίας τελικού σημείου επιτρέπει συνήθως την παρακολούθηση της περιμέτρου του δικτύου και το φιλτράρισμα της κυκλοφορίας, σύμφωνα με τις απαιτήσεις.

Διαγραφή δεδομένων: Η πρακτική αυτή περιορίζει την ευθύνη διαγράφοντας δεδομένα που δεν είναι πλέον απαραίτητα. Αυτό μπορεί να πραγματοποιείται μετά την επεξεργασία και ανάλυση δεδομένων, ή περιοδικά όταν τα δεδομένα δεν είναι πλέον σχετικά. Η διαγραφή περιττών δεδομένων είναι αυστηρή απαίτηση πολλών κανονισμών συμμόρφωσης και κυρίως του GDPR.

Βέλτιστες πρακτικές που διασφαλίζουν το απόρρητο των δεδομένων

Η δημιουργία πολιτικών για το απόρρητο δεδομένων μπορεί να είναι δύσκολη, αλλά δεν είναι και αδύνατη. Οι ακόλουθες βέλτιστες πρακτικές μπορούν να βοηθούν τους οργανισμούς να διασφαλίζουν ότι οι πολιτικές που δημιουργούν είναι όσο το δυνατόν πιο αποτελεσματικές:

Εξάσκηση στην ελάχιστη συλλογή δεδομένων: Οι εφαρμοζόμενες πολιτικές θα πρέπει να επιβάλλουν τη συλλογή μόνο των απαραίτητων δεδομένων. Εάν συλλέγονται περισσότερα από αυτά που χρειάζονται, αυξάνεται η ευθύνη και μπορεί να δημιουργείται αδικαιολόγητο βάρος στις ομάδες ασφαλείας του οργανισμού. Η ελαχιστοποίηση της συλλογής δεδομένων μπορεί επίσης να βοηθήσει στην εξοικονόμηση εύρους ζώνης και αποθήκευσης. Ένας τρόπος για να επιτευχθεί αυτό είναι η χρήση πλαισίων “επαλήθευσης μη αποθήκευσης”. Τα συστήματα αυτά χρησιμοποιούν δεδομένα τρίτων για να επαληθεύσουν τους χρήστες και να εξαλείψουν την ανάγκη αποθήκευσης ή μεταφοράς των δεδομένων τους στις αποθηκευτικές μονάδες του οργανισμού.

Συναίνεση των χρηστών: Πολλοί χρήστες λαμβάνουν υπόψη την προστασία του απορρήτου και ενδέχεται να εκτιμήσουν τη διαφάνεια όταν πρόκειται για τον τρόπο με τον οποίο χρησιμοποιούνται και αποθηκεύονται τα δεδομένα. Εκφράζοντας αυτό, ο GDPR κατέστησε τη συναίνεση των χρηστών βασική πτυχή της χρήσης και της συλλογής δεδομένων. Οι οργανισμοί μπορούν να είναι βέβαιοι ότι θα εξασφαλίζουν τη συναίνεση των χρηστών στις διαδικασίες τους, σχεδιάζοντας ζητήματα απορρήτου στις διασυνδέσεις τους. Για παράδειγμα, πρέπει να υπάρχουν σαφείς ειδοποιήσεις χρήστη που να περιγράφουν πότε συλλέγονται δεδομένα και γιατί. Θα πρέπει επίσης να συμπεριλαμβάνονται επιλογές στους χρήστες για τροποποίηση ή εξαίρεση από τη συλλογή δεδομένων.

Απογραφή των δεδομένων: Μέρος της διασφάλισης του απορρήτου των δεδομένων είναι η κατανόηση των κατεχόμενων δεδομένων, πώς χειρίζονται αυτά και πού αποθηκεύονται. Οι εφαρμοζόμενες πολιτικές θα πρέπει να καθορίζουν τον τρόπο συλλογής και δράσης αυτών των πληροφοριών. Για παράδειγμα, πρέπει να καθορίζεται η συχνότητα σάρωσης των δεδομένων και ο τρόπος ταξινόμησής τους όταν αυτά εντοπίζονται. Οι πολιτικές απορρήτου θα πρέπει να περιγράφουν με σαφήνεια ποια προστασία απαιτείται για τα διάφορα επίπεδα απορρήτου των δεδομένων. Θα πρέπει επίσης να περιλαμβάνουν διαδικασίες για τον έλεγχο προστασίας για να διασφαλίζεται ότι οι λύσεις εφαρμόζονται σωστά.

Συμμόρφωση με τους κανονισμούς προστασίας δεδομένων

Η ευρεία χρήση προσωπικών και ευαίσθητων δεδομένων, ανέδειξε τη σημασία της προστασίας αυτών των δεδομένων από απώλεια και διαφθορά. Οι παγκόσμιες αρχές έχουν λάβει μέτρα συμμόρφωσης με τους κανονισμούς, όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR). Ο GDPR δίνει έμφαση στα δικαιώματα προσωπικών δεδομένων των κατοίκων της ΕΕ, συμπεριλαμβανομένου του δικαιώματος αλλαγής, πρόσβασης, διαγραφής ή μεταφοράς των δεδομένων τους. Τα προσωπικά δεδομένα αναφέρονται σε κάθε πληροφορία που σχετίζεται με ένα άτομο. Μπορεί να περιλαμβάνουν ονόματα, φυσικά χαρακτηριστικά, διευθύνσεις, φυλετικά ή εθνικά χαρακτηριστικά και βιομετρικά δεδομένα, όπως το DNA και τα δακτυλικά αποτυπώματα.

Τι είναι ο GDPR;

Ο Γενικός Κανονισμός Προστασίας Δεδομένων που είναι γνωστός διεθνώς ως GDPR (General Data Protection Regulation), αποτελεί τον πιο αυστηρό νόμο περί απορρήτου και ασφάλειας στον κόσμο. Παρόλο που συντάχθηκε και εγκρίθηκε από την Ευρωπαϊκή Ένωση για την προστασία των προσωπικών δεδομένων των πολιτών της, επιβάλλει υποχρεώσεις σε οργανισμούς οπουδήποτε, εφόσον στοχεύουν ή συλλέγουν δεδομένα που σχετίζονται με άτομα στην Ε.Ε. Ο κανονισμός του GDPR τέθηκε σε ισχύ στις 25 Μαΐου 2018 και επιβάλλει αυστηρά πρόστιμα σε όσους παραβιάζουν τα πρότυπα απορρήτου και ασφάλειας, με ποινές που φτάνουν τα δεκάδες εκατομμύρια ευρώ. Υπάρχουν δύο κύριοι ρόλοι που εκτελεί ο GDPR: ο πρώτος είναι ο επεξεργαστής δεδομένων GDPR, ο οποίος είναι μια οντότητα που κατέχει ή επεξεργάζεται αυτόν τον τύπο δεδομένων για λογαριασμό ενός άλλου οργανισμού, ενώ ο δεύτερος είναι ο ελεγκτής δεδομένων GDPR που συλλέγει ή επεξεργάζεται προσωπικά δεδομένα για δικούς του σκοπούς. Με τον GDPR η Ευρώπη σηματοδοτεί τη σταθερή της στάση σχετικά με το απόρρητο και την ασφάλεια των δεδομένων, σε μια εποχή που περισσότεροι άνθρωποι εμπιστεύονται στα προσωπικά τους δεδομένα υπηρεσίες cloud και οι παραβιάσεις αποτελούν καθημερινό φαινόμενο. Ο ίδιος ο κανονισμός είναι μεγάλος, εκτεταμένος και αρκετά ξεκάθαρος στα χαρακτηριστικά του, καθιστώντας τη συμμόρφωση με τον GDPR μια φοβερή πρόκληση, ιδιαίτερα για τις μικρομεσαίες επιχειρήσεις.

Ιστορικό του GDPR

Το δικαίωμα στην ιδιωτική ζωή είναι μέρος της Ευρωπαϊκής Σύμβασης του 1950 για τα Ανθρώπινα Δικαιώματα, η οποία αναφέρει: «Ο καθένας έχει το δικαίωμα σεβασμού στην ιδιωτική και οικογενειακή του ζωή, το σπίτι του και την αλληλογραφία του». Από τη βάση αυτή, η Ευρωπαϊκή Ένωση προσπάθησε να διασφαλίσει την προστασία αυτού του δικαιώματος μέσω νομοθεσίας.

Η εξέλιξη της τεχνολογίας και η εφεύρεση του Internet οδήγησαν την Ε.Ε. να αναγνωρίσει την ανάγκη για σύγχρονες προστασίες. Έτσι, το 1995 η Ε.Ε. πέρασε την Ευρωπαϊκή Οδηγία για την Προστασία Δεδομένων, θεσπίζοντας ελάχιστα πρότυπα απορρήτου και ασφάλειας δεδομένων, στα οποία βασίστηκε το κάθε κράτος μέλος για να δημιουργήσει και να εφαρμόσει το δικό του δίκαιο. Όμως ήδη το διαδίκτυο είχε αρχίσει να μετατρέπεται σε μια τεράστια συλλογή δεδομένων. Το 1994, εμφανίστηκε στο διαδίκτυο το πρώτο διαφημιστικό banner. Το 2000 η ​​πλειοψηφία των χρηματοπιστωτικών ιδρυμάτων προσέφεραν διαδικτυακές τραπεζικές συναλλαγές. Το 2006 έγινε διαθέσιμη στο κοινό η πλατφόρμα του Facebook. Το 2011 μία χρήστης της Google μήνυσε την εταιρεία για τη σάρωση των μηνυμάτων ηλεκτρονικού ταχυδρομείου της. Δύο μήνες μετά από το γεγονός αυτό, η ευρωπαϊκή αρχή προστασίας δεδομένων δήλωσε ότι η Ε.Ε. χρειάζεται “μια ολοκληρωμένη προσέγγιση για την προστασία των δεδομένων προσωπικού χαρακτήρα” και άρχισε να εργάζεται για την ενημέρωση της οδηγίας του 1995. Ο GDPR τέθηκε σε ισχύ στις 14 Απριλίου 2016 μετά την ψήφισή του στο Ευρωπαϊκό Κοινοβούλιο και ξεκίνησε να εφαρμόζεται από τις 25 Μαΐου 2018, υποχρεώνοντας σε συμμόρφωση όλες τις επιχειρήσεις.